加納 隼人氏 ヒューコム 技術本部 セキュリティプロダクト部

ADSL(asymmetric digital subscriber line)をはじめとする常時接続環境のインターネット接続サービスを活用すれば,安価で高速なリモート・アクセスを実現できる。ただし,企業利用である以上,セキュリティの確保が欠かせない。安全かつ通信効率の高いリモート・アクセスを実現するポイントを解説する。

 インターネット経由でリモート・アクセス環境を提供する場合,IPsecを使って転送データを暗号化し,トンネリング接続するインターネットVPNの構築が不可欠。その際,ルーターやVPNソフトの設定に注意が必要になる。

ルーター経由で通信できない
VPN製品を更新して解決

リモート・アクセスで問題になるのは,プライベート・アドレス環境からの接続。大部分の場合,エンドユーザー宅のルーター設定で使えるようになる。ただし,ルーターの設定変更ができない環境からもアクセスを可能にするには,新機能に対応したVPN製品を選択する必要がある。

 総合商社のA社は5年ほど前から,本社と支社にリモート・アクセス・サーバー(RAS)を設置し,出先や自宅からリモート接続できるようにしていた。社員は電話網経由で全国7カ所に設置したRASまでダイヤルアップ接続。そこから先は社内IP網でデータを転送していた。

 RASの運用は順調だったが,最近では自宅にインターネット常時接続環境を持つ社員が増えるなど,状況が変わってきた。社員からも,「追加料金なしでWebサーバーに高速アクセスできるインターネット接続に比べ,ダイヤルアップ接続は通信料金,スループットとも差が大きすぎる。インターネット経由で接続できないか」という要望が寄せられるようになっていた。

ADSLルーターからつながらない

 そこでA社は,設備の更新を機にインターネット経由のリモート・アクセスに切り替えることにした。利用者はパソコンにVPNクライアント・ソフトをインストールして,インターネット経由でセンターのVPNゲートウエイにアクセスする。盗聴や不正アクセスは,IPsecによる暗号化で防ぐ。

 こうしておけば,既存のインターネット接続環境をそのまま利用する形でリモート・アクセスを実現できる。システム部門にとっても,RASの分散配置から社内ネットワークにアクセスさせるゲートウエイを1カ所に集約することで,運用・管理が容易になるメリットがある。

 システム部門では,事前にパソコンからリモート・アクセスして接続に問題がないことを確認。万全を期して新しいリモート・アクセスに移行したつもりだった。しかし導入後に,多数の社員から,「自宅からリモート・アクセスできない」というクレームが入った。このため,当面RASの運用も続けざるを得なくなった。

 調査してみると,ADSL接続で問題がないのは,ブリッジ・タイプのモデムを1台接続している場合だけ。ルーター経由では接続できていなかった。問題は,ルーターのNAPT処理にあったのである。

図1 リモート・アクセスで発生したA社のトラブルと解決策
A社はIPsec(IP security protocol)を使ったリモート・アクセスを導入した。しかし導入後にルーターを越えて接続する環境で通信ができないことが判明。エンドユーザーに1対1NATを設定してもらった。

ルーターでIPsec接続を固定割り当て

 NAPTは,プライベート・アドレスとグローバル・アドレスを変換する際に,IPアドレスだけでなく,TCP/UDPヘッダーのポート番号も書き換える。ところがIPsecでは,IPパケットをカプセル化する際に,本来TCP/UDPヘッダーが位置する部分がESPヘッダーに置き換わる。このためIPsecヘッダーはNAPT処理ができない(図1[拡大表示])。

 A社が事前にテストしたのは,専用線によるインターネット接続であり,NAPTルーターは使わなかった。A社の担当者は,事前に問題に気付かず,結果として対応に追われる形になってしまった。

 A社は問題を解決するために,エンドユーザーにルーターで1対1NATの設定をしてもらうことにした。1対1NATは,IPパケットの送信元アドレスとあて先アドレスだけを基に,グローバル・アドレスとプライベート・アドレスを対応付ける技術。アドレスの組み合わせを登録しておけば,IPsecでも通信できるようになる。